[postfix-users] TLS von MTA zu MTA

Florian Streibelt postfix at f-streibelt.de
Fr Aug 9 23:47:15 CEST 2013


Am Fr, 09.08.13 um 18:32:12 Uhr 
schrieb Christian Bricart <christian at bricart.de>:
> 
> Mails raus an bspw. web.de sehen total super aus:

> ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)

jop, ist sogar diffie hellman key exchange bei. 

> 
> Aber rein steht (auch bei *allen* anderen eingehenden ESMTPS 
> Serververbindungen):
> 
> Ich beziehe mich hier auf den Unterschied "Trusted TLS connection" zu 
> "Anonymous TLS connection". Müsste dort nicht irgendwann auch mal 
> "Trusted" stehen...? Wie gesagt - das steht *nie* da.

IMHO:

Da du das Zertifikat des Clients nicht kennst ist der anonymous für Dich in Deiner Rolle als Server.
Du authentifizierst ja den remote server nicht direkt wie ein Client Zertifikat im Browser eines users.


> Ich *glaube* was fehlen würde wäre "smtpd_tls_ask_ccert=yes" - lasse 
> mich aber von dem Satz:
>   | Additionally some MTAs (notably some versions of qmail) are unable to 
> complete
>   | TLS negotiation when client certificates are requested, and abort the 
> SMTP session.
>   | So this option is "off" by default
> etwas einschüchtern das auf einem public MX zu aktivieren..

Genau, ich gehe auch davon aus, dass das ausschliesslich benutzt wird, damit Du nur noch Verbindungen von servern annimmst, die ein valides ZErtifikat präsentieren - alle anderen machen dann entweder nen fallback auf plain oder sehen das als error und stellen nicht zu.

Das will man in der Regel beides nicht.


Die Verwendung von CAs dafür ist... naja... unpraktisch. Besser wäre da DNSSEC und ein fingerprint des keys im DNS - wenn man denn dnssec vertraut. *sigh*


/Florian


Mehr Informationen über die Mailingliste postfix-users